Identitätsprüfung bei elektronischen Auskunftsersuchen

Lesezeit: ca. 7 Minuten

Mit Erlass der EU-Datenschutzgrundverordnung (DSGVO) im Mai 2018 haben die Betroffenenrechte im Bereich des Datenschutzes eine Stärkung erfahren. Während einige Rechte, wie das Recht auf Auskunft, das Recht auf Löschung oder Berichtigung, sowie Einschränkung der Verarbeitung bereits im „alten“ Datenschutzrecht in Teilen eine Rolle spielten, ist besonders das Recht auf Datenübertragbarkeit eine Neuheit.

Doch beim Ausüben dieser Rechte ist vor allem aus der Perspektive des Verantwortlichen einiges zu beachten. Ins Besondere das Thema Identitätsprüfung der antragstellenden Betroffenen stellt häufig eine Herausforderung dar. Die baden-württembergische Aufsichtsbehörde bezieht sich in ihrem Beitrag exemplarisch auf das Auskunftsrecht, betont aber, dass sämtliche Angaben auch für die Umsetzung anderer Betroffenenrechte ihre Relevanz haben.

Gemäß Artikel 15 Absatz 3 muss der Verantwortliche dem Betroffenen auf dessen Anfrage hin eine Kopie seiner personenbezogenen Daten zur Verfügung stellen. Erfolgt der Antrag elektronisch und wird nichts anderes gefordert, dürfen die Daten auch auf elektronischem Wege übermittelt werden.

Die Daten können mitunter sehr sensibel sein und eine Weitergabe an unbefugte Dritte könnte für den Betroffenen schwerwiegende Folgen haben. Gleiches gilt auch für einen gefälschten Antrag auf Löschung, Berichtigung oder Einschränkung der Datenverarbeitung. So ist eine Identitätsprüfung unumgänglich.

Bezüglich dieser Identitätsprüfung gibt es jedoch weiterhin viele Unsicherheiten bei Verantwortlichen. Die Aufsichtsbehörde bemängelt, es habe bislang nicht genügend Informationen zu diesem Thema gegeben und bei ihnen würden sich die Anfragen für Hilfestellung bei der Wahl der richtigen Identifizierungsmethode bereits häufen.

Baden-Württembergs Datenschutzbehörde stellt in ihrem Beitrag die Wege der Antragstellung, sowie der Identitätsprüfung vor und bewertet diese anschließend.

Wege der Antragstellung

Der bisher gebräuchlichste und auch weiterhin vom Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI) auf dessen Webseite empfohlene Weg ist der schriftliche Antrag auf Auskunftsersuchen. In der Regel sollte dann auch die Antwort schriftlich an die angegebene Anschrift erfolgen.

Nach Artikel 12 Absatz 1 DSGVO ist auch eine mündliche Erteilung der Auskunft vorgesehen. Somit ist auch ein Antrag per Telefon möglich.

Der scheinbar zurzeit bevorzugte Weg und wohl auch der einfachste für Betroffene ist die Antragstellung per E-Mail. Dieser Vorgang bedeutet für Verantwortliche aber meist einige Komplikationen, kann von einer E-Mail-Adresse keinesfalls auf die wahre Identität des Betroffenen geschlossen werden. Oft stellen Betroffenen unter anderen E-Mail-Adressen Anfragen, als jene, mit der sie im Datensatz des Verantwortlichen auftauchen.

Besonders im Bereich der sozialen Netzwerke haben die Anträge über das Nutzerkonto bzw. die Webseite an Relevanz gewonnen. Die angeforderten Daten können teilweise sogar direkt abgerufen werden.

Außer diesen Antragswegen sind noch weitere denkbar, wie etwa ein persönlicher Antrag beim Verantwortlichen vor Ort. Dieser stellt aber hinsichtlich der Identitätsprüfung keine Herausforderung dar.

Identifizierungsmethoden und Bewertung dieser

Bei telefonischen Anfragen, aber auch in anderen Kontexten ist die Abfrage von zusätzlichen Informationen der betroffenen Person üblich. Typisch dafür sind beispielsweise Geburtsdatum und Anschrift, in einigen Fällen auch zuvor mitgeteilte PINs und ähnliches. Obgleich diese Methode viel genutzt wird, ist das Problem dabei, dass die abgefragten Informationen meist keine wirklichen Geheimnisse darstellen, sondern Angaben sind, über die Familienangehörige, Freunde, Arbeitskollegen und andere Bekannte leicht verfügen können.

Der BfDI sieht die Vorlage eines Personaldokuments zur Legitimation in ausgewählten Fällen als zulässig an. Dabei sind ausschließlich Name, Anschrift, Geburtsdatum und Gültigkeitsdauer von Bedeutung. Alle restlichen Daten können auf der Kopie geschwärzt werden. Die postalische Übermittlung einer solchen geschwärzten Ausweiskopie wird datenschutzrechtlich als unbedenklich eingestuft. Wichtig ist, dass die Kopie nur zum Zwecke der Identitätsprüfung verwendet und nicht etwa in den normalen Datenbestand des Verantwortlichen aufgenommen wird. Die Übermittlung der Kopie per E-Mail kann jedoch bedenklicher sein. Fordert der Verantwortliche eine Ausweiskopie des Betroffenen, muss er ebenso einen sicheren Zugangsweg garantieren, was beim normalen E-Mail-Verkehr ohne zusätzliche Verschlüsselung oder ähnliches meist nicht gewährleistet ist. Die Aufsichtsbehörde betont, dass bislang keine größeren Einwände gegen das Verfahren gefunden wurden, dennoch sollte bedacht werden, dass im Zweifelsfall nicht nur der Betroffene selbst Zugriff auf sein Ausweisdokument haben könnte, sondern auch Familienmitglieder, Mitbewohner und andere Angehörige.

2014 wurde die in diesem Zusammenhang relevante eIDAS-Verordnung erlassen, die es zum Ziel hat, eine „gemeinsame Grundlage für eine sichere elektronische Interaktion zwischen Bürgern, Unternehmen und öffentlichen Verwaltungen“ zu schaffen. Sie beinhaltet verbindliche europaweit geltende Regelungen zur elektronischen Identifizierung und zu elektronischen Vertrauensdiensten.

Auch in Deutschland wurden bereits elektronische Identifizierungsmethoden eingeführt, die den Inhalten der eIDAS-Verordnung entsprechen. Zu nennen sind hier die Ausweisfunktion des elektronischen Personalausweises und De-Mail, sowie die elektronische Signatur, als eIDAS-Dienste. Bei diesen Verfahren wird die Identität des Betroffenen im Vorhinein bestätigt und eindeutig geprüft, später kann der Dienst europaweit genutzt werden und verantwortliche können sich auf die vorher stattgefundene Identitätsprüfung stützen. Die Aufsichtsbehörde schätzt die Nutzung dieser Dienste im  Vergleich zur Übermittlung eines Ausweisdokuments als vorteilhafter ein, ist hier eine stärkere Authentifizierung des Betroffenen gefragt. Der Antragsteller muss nicht nur im Besitz des Ausweises sein, sondern etwa bei der Online-Ausweisfunktion auch über eine zusätzliche PIN verfügen, um sich dem Verantwortlichen gegenüber zu identifizieren. Nachteil des Verfahrens ist, dass eIDAS-Dienste bislang eher wenig genutzt werden.

Ein wohl bereits bekannterer Weg ist das Postident-Verfahren der Deutschen Post. Hier wird eine persönliche Identifizierung durch einen Mitarbeiter der Post, der den Ausweis des Betroffenen prüft, eine Kopie anfertigt und die Identitätsfeststellung an den Verantwortlichen weiterleitet, vollzogen. Neben der klassischen Version des Postident-Verfahrens ist mittlerweile auch die Identifizierung per Videochat etabliert. Deren Vorteil ist, dass keine Postfiliale aufgesucht werden muss, sondern die Identifizierung sofort im Videochat mit einem Mitarbeiter durchgeführt werden kann. Wird dieses Verfahren zur Identitätsprüfung im Fall eines Auskunftsersuchens genutzt, muss es nicht zwangsläufig von einem Mitarbeiter der Post angewandt werden. Die Authentifizierung kann ebenso direkt durch einen Mitarbeiter der verantwortlichen Stelle persönlich oder im Videochat geschehen. Die Aufsichtsbehörde bestätigt, dass dieses Verfahren unter den bisher erwähnten die höchste Sicherheit hat. Es ist jedoch auch mit einem höheren Aufwand für die betroffene Person verbunden. Aus Datenschutzsicht ist außerdem zu bemängeln, dass eine Schwärzung der Ausweiskopie nicht möglich ist. Die Datenschutzbestimmungen der jeweiligen Dienststelle sollten jeweils genau geprüft werden. Bei der Deutschen Post werden die Daten zwar angeblich nicht dauerhaft gespeichert, beim Videochat-Verfahren wird jedoch zumindest in einigen Fällen der gesamte Identifizierungsprozess, also Video und Audio, an den Verantwortlichen weitergegeben. Ob der datenschutzbewusste Betroffene dazu bereit ist, ist laut der Aufsichtsbehörde fraglich.

Die wahrscheinlich am leichtesten umzusetzende Methode für Betroffene und Verantwortliche ist die Antragstellung mit erfolgreicher Identifizierung über ein bereits bestehendes Nutzerkonto. Aus Erwägungsgrund 57 (zu Artikel 11) DSGVO geht hervor, dass wenn ein Betroffener über ein Nutzerkonto bei dem Verantwortlichen verfügt, keine zusätzliche Identifizierung, die über die Authentifizierung des Nutzerkontos hinausgeht, verlangt werden darf. Die Sicherheit des Verfahrens liegt mit der Wahl eines möglichst starken Passworts in der Hand des Nutzers. Verschaffen sich Unbefugte Zugriff auf Nutzerkonten, können sie einigen Schaden anrichten. Empfehlenswert wäre daher eine Zwei-Faktor-Authentifizierung zur Ausübung der Betroffenenrechte.

Auswahl des richtigen Verfahrens

Der Verantwortliche muss in jedem Fall selbst entscheiden, welche Identifizierungsmethode er wählt. Die Wahl richtet sich nach der Berücksichtigung des Risikos für die Rechte und Freiheiten der betroffenen Person. Die Auskunftserteilung als Verarbeitung personenbezogener Daten im Sinne der DSGVO setzt voraus, dass der Verantwortliche ein angemessenes Schutzniveau gewährleistet (Artikel 32 und Erwägungsgrund 83 DSGVO).

So sind beim Umgang mit besonders sensiblen Daten oder besonders großen Datenmengen auch besondere Schutzmaßnahmen zu treffen.

Außerdem sollte stets präsent sein, dass ein sicheres Identifizierungsverfahren vor allem auch im Sinne des Betroffenen liegt, obgleich dies je nach Schutzniveau einen beträchtlichen Aufwand für die betroffene Person bedeuten kann.

Hinweise zur Erteilung

Ebenso so wie bei der Wahl einer sicheren Methode zur Identifizierung der betroffenen Person, muss sich der Verantwortliche letztendlich auch bei der Übermittlung der Daten für einen angemessenen Weg entscheiden. Sofern die Auskunft nicht postalisch verläuft, ist hier einiges zu beachten. Normale E-Mails sind aus Datenschutzperspektive bei Auskünften problematisch. Insbesondere sensible Daten dürfen nicht ohne Ende-zu-Ende-Verschlüsselung weitergegeben werden. Oft stellt der Betroffene jedoch keinen öffentlichen Schlüssel bereit, so dass der Verantwortliche im Zweifelsfall einen anderen Weg wählen muss.

Möglich ist auch die Bereitstellung eines verschlüsselten PDF-Dokuments, bei dem das notwendige Passwort auf einem anderen vertrauenswürdigen Kanal mitgeteilt wird. Leichtere Optionen sind die Auskunftserteilung über das Nutzerkonto direkt oder auch über De-Mail. Ist das Auskunftsersuchen per De-Mail eingegangen, ist es möglich auch sensible Daten, ohne Ende-zu-Ende-Verschlüsselung, weiterzugeben.

Fazit der Aufsichtsbehörde

Die Aufsichtsbehörde bemerkt die Stärkung der Betroffenenrechte durch die DSGVO und auch die vermehrte Ausübung dieser generell als positive Entwicklung. Dennoch ist sie für Verantwortliche mit unterschiedlichen Herausforderungen verbunden. Es gilt eine Balance zu finden, denn die DSGVO fordert gleichzeitig eine Gewährleistung der Sicherheit im Umgang mit personenbezogenen Daten und die Wahrnehmung der Betroffenenrechte mit einem möglichst geringen Aufwand für Betroffene. Es gibt bislang kein allgemein etabliertes Verfahren zur Identitätsprüfung bei Auskunftsersuchen und der Ausübung weiterer Betroffenenrechte. Bis dahin ist jeder Verantwortliche selbst in der Pflicht, ein für sein Unternehmen und dessen Datenverarbeitungsprozesse geeignetes Verfahren zu wählen.

Weitere Informationen: https://www.baden-wuerttemberg.datenschutz.de/identitaetspruefung-bei-elektronischen-auskunftsersuchen-nach-art-15-ds-gvo/

 
1 Star2 Stars3 Stars4 Stars5 Stars 1 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...

Rechtsanwalt Thomas Feil in den Medien

Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen